世界を動かす技術を、日本語で。

6日間およびIPアドレス証明書が一般提供開始されました

2026年1月17日原文(letsencrypt.org)

概要

Let's Encryptが 短期間有効な証明書 および IPアドレス証明書 の一般提供を開始。 短期間証明書は 160時間(約6日間) の有効期限。 証明書失効の問題点 を改善し、セキュリティを強化。 IPアドレス証明書は 短期間証明書のみ で発行可能。 今後は 証明書の有効期間短縮 も計画中。

Let's Encryptの短期間証明書の一般提供

  • Let's Encryptが 短期間有効な証明書 (short-lived certificates)の一般提供を開始
  • 有効期間は 160時間(約6日間) で設定
  • ACMEクライアントで ‘shortlived’証明書プロファイル を選択するだけで取得可能
  • 頻繁な検証 を必要とすることで、セキュリティ強化を実現
  • 証明書の 失効(revocation)システムの信頼性の低さ を補完
  • プライベートキー漏洩時のリスク期間を 大幅短縮
  • 通常の証明書(90日間有効)では、失効が機能しない場合 長期間脆弱性が残る 問題
  • 短期間証明書は オプトイン方式 で、現時点ではデフォルトにしない方針
  • 自動更新プロセス を完全自動化している利用者は、短期間証明書への移行が容易
  • 一般的な利用者が短期間証明書に慣れるまで、デフォルト化は見送り
  • 今後数年で デフォルト証明書の有効期間を90日から45日に短縮 予定

IPアドレス証明書の提供

  • サーバ運用者が IPアドレス(IPv4、IPv6) でTLS接続を認証可能
  • IPアドレス証明書は短期間証明書のみ で発行
  • IPアドレスは ドメイン名よりも流動的 なため、頻繁な検証が重要
  • 詳細やユースケースは、Let’s Encrypt公式の IP Certificate発表記事 参照

今回の取り組みへの支援

  • Open Technology FundSovereign Tech Agency、スポンサー・ドナー各位の支援による開発推進

Hackerたちの意見

IP証明書が欲しい人は、certbotがまだ対応してないことに注意してね。実装のためのPRはまだオープン中だよ: https://github.com/certbot/certbot/pull/10495 でも、acme.shは対応してると思うよ。

現在IPアドレスをサポートしていると思われるACMEクライアントは、acme.sh、lego、traefik、acmez、caddy、cert-managerだよ。certbotのサポートも早く実装されるといいな。

このスレッドでも既に指摘されてるけど、今のところcertbotを使ってIPアドレス証明書は取得できないよ。lego [1] を使えるけど、正確なコマンドラインを見つけるのに昨日はちょっと苦労した。これがうまくいったコマンドだよ: lego --domains 206.189.27.68 --accept-tos --http --disable-cn run --profile shortlived [1] https://go-acme.github.io/lego/

Caddyはもうサポートされてるのかな?(まだ作業中みたいだね)https://github.com/caddyserver/caddy/issues/7399

これは面白いね。IPアドレス証明書の使い道は、エフェメラルサービスがTLS通信を行うためだと思うけど、今は名前サーバーにレコードをプロビジョニングする必要がなくなったんだね。何百も何千も立ち上げるかもしれないサービスが、1時間や1日だけしか持たないのに。

確かに、人間が直接関わらないものに対して名前サーバーに依存しないのは結構便利だね。

レジストラに依存しないのはいいね。もっと匿名性が高い。

TLSが必要だけど、プロジェクト用の適切なサブドメインを取得するには、動きが遅い人たちと話さなきゃいけないの?

IPアドレス証明書の使い道は、エフェメラルサービスがTLS通信を行うためだと思うよ。DNS over TLSやDNS over HTTPSっていうのもあるけど、聞いたことある?

これが役立つのは、暗号化されたクライアントハロー(ECH)だね。TLS/HTTPSを使って、サーバー名を聞いているデバイスに漏らさずに通信できる方法なんだ(標準のSNI名は平文で送信される)。使うには、接続先のサーバーのホスト名が読みやすい形で放送される有効な証明書が必要だよ。CloudflareやAzure、Googleみたいな大手は、プロキシの名前を使えばいいから問題ないけど、小さいサイトだと一つか二つのドメインしか持ってないことが多いから、明確なホスト名がないことが多いんだ。IP証明書を使えば、外側のTLS接続は読みやすいSNIフィールドにIPアドレスを使って、実際の接続のホスト名を暗号化できる。もう他人のコンテンツをプロキシする必要もなくなるから、ECHが有効に働くよ。

7月のIPアドレス証明書の発表では、いくつかの潜在的な使用例が挙げられてたよね:https://letsencrypt.org/2025/07/01/issuing-our-first-ip-addr...

今、45日からの変更をテストするために2週間の更新間隔を実装したんだけど、6日間の証明書が来るの?批判するつもりはないけど、更新はどうすればいいの?もし何か問題が起きたら、certbotをトリガーするパイプラインがうまくいかなくなるかもしれないし、修正する時間もないよ。そうなると、2日間の更新と4日間の「デバッグ」ウィンドウができちゃう。これが必要な人もいるだろうけど、私は違うな。それに、理由も少し変だよね。> IPアドレス証明書は短命でなければならないという決定をしたのは、IPアドレスがドメイン名よりも一時的だから、より頻繁に検証することが重要だということ。45日間のウィンドウ内で、IPアドレスは本当にドメインより一時的なの?VPSを借りたときに得られる静的IPは、一時的じゃないよ。

Hacker Newsで議論の続きを見る